2013-08-26

SonicWALL で HA (高可用性)設定を行う

思ったより面倒だった SonicWALL の HA セットアップ

 SonicWALL の OS 5 では、比較的容易に冗長構成ができるようになっています。
 これは高可用性(High Availablity, 以降 HA)と呼ばれます。

 同モデルのメイン(主格)機とバックアップ(副格)機を用意して繋げておくことによって、主格機が電源障害やシステム障害などにより動作不能になった場合に、ネットワークの設定が自動的に副格機に移り、クライアントユーザはダウンタイムなしでネットワークを利用できるようになるといういうものです。

 意外に面倒なHA 構成、設定、確認方法をまとめてみました。





【用意するもの】

1. SonicWall  2 台

 OS 5 以上、同モデル機器、ファームウェアのバージョンが一致していることが条件です。
 当方は Sonic WALL TZ205W で操作を行いましたが、上位機でも、OS 5 であれば、ほとんどの操作で共通している部分も多いと思います。

2. クロスケーブル (カテゴリー6): 1 本

 SonicWALL 同士を繋ぎ、一定の間隔で稼働状態をチェックする(ハートビート)ために使います。

3. WAN スイッチ用のハブ: 1 台

 WAN 回線を分配するためのハブです。
 この他に、WAN ケーブル(ストレート) 1 本、LAN ケーブル(ストレート) 2本が必要になります。

4. LAN 用のハブ: 1 台

 二台の SonicWall、クライアント PC を繋ぐための LAN 用のハブです。
 台数分の LAN ケーブル(ストレート)が必要になります。




【設定用クライアントPCの準備】


 クライアント PC の NIC の設定で、IP 設定のゲートウェイを 192.168.168.168 (SonicWALL 管理インタフェースのデフォルト)にします。

 たとえば、以下のように設定します。





【副格機の設定】


 副格機側は、スイッチポートの設定のみを行います。


1. 副格機となる SonicWALL の LAN ポート (X0) と クライアント PC の Ethernet ポートをストレートケーブルで繋ぎ、SonicWALL に電源を投入します。



2. http://192.168.168.168/ にアクセスし、ユーザ名を admin、パスワードを password でログインします(製品出荷時のデフォルト)。

3. 管理インタフェースより、「高可用性」 → 「設定」の順に選択します。

 下図のように、「高可用性を有効にする」のチェックボックスのチェックが外れていること、そして、「バックアップ SonicWALL」 のシリアル番号が「000000000000」になっていることを確認します。



 上記のような状態になっていない場合は、工場出荷時の設定に戻し、最初からもう一度やり直してください。

 SonicWALL を工場出荷時の設定に戻す方法は、こちらをご覧ください。
 SonicWALL の初期化(工場出荷時設定)方法


4. PortShield グループより、X2~X4 ポートの設定を解除します。

 PortShield は、デフォルトでは、X2~X4 のスイッチポートにクライアント機器を接続してネットワーク利用できるようになっていますが、HA 構成をする場合は、X2~X4 ポートの PortShield 設定を解除(未定義)に変更する必要があります。

 管理インタフェースより、「ネットワーク」 → 「PortShield」 グループ の順に選択します。

 以下のように、 PortShield グループの設定ページが表示されますので、下図のように X2、 X3、X4 ポートをクリックして黄色に反転させ、選択状態にしてから、“設定”ボタンをクリックします。

注:
ポートを選択できない(黄色に反転しない)場合、「ネットワーク」→「インターフェイス」を選択し、目的のポートの「ゾーン」を「未定義」に指定します。


5. 複数のスイッチポートを編集するためのサブページが開きますので、その中から、「ポートシールド インタフェース」のプルダウンをクリックし、[未定義] を選択して“OK”をクリックします。



6. 元の PortShield グループ設定ページに戻りますので、ポートの X2、X3、X4 が黒抜きになっていることと、ポートシールドの状態が 「未定義」になっていることを確認してください。



7. 管理インタフェースからログアウトし、副格機の電源を落とします。


以上で副格機側の設定は終了です。




【主格機の設定】

1. 副格機に接続していた LAN ケーブルを、 主格機となる SonicWALL の LAN ポート (X0) に繋ぎ替え、アクティブな WAN ケーブルを WAN ポート (X1)に繋ぎ、電源を投入します。



2. 社内の WAN および LAN が正しく動作するように、ネットワーク設定を行います。
(ここではこの操作は省略)

3. PortShield グループより、X2~X4 ポートの設定を解除します。

 PortShield は、デフォルトでは、X2~X4 のスイッチポートにクライアント機器を接続してネットワーク利用できるようになっていますが、HA 構成をする場合は、X2~X4 ポートの PortShield 設定を解除(未定義)に変更する必要があります。

 この設定方法は、前述の副格機の設定と同様ですので、ここでは省略します。

4. 管理インタフェースより、「高可用性」 → 「設定」の順に選択します。

 下図のように、「高可用性を有効にする」のチェックボックスにチェックを入れ、「バックアップ SonicWALL」 に副格機のシリアル番号を入力してから“適用”ボタンをクリックします。


注:
“適用”クリックで「HAでのインターフェースへのIP割り当ては、「静的」である必要があります」とエラーがでる場合、WANに接続するか、「ネットワーク」→「インターフェース」で「ネットワークモード」を「静的IP」に設定します。


5. 管理インタフェースからログアウトし、主格機の電源を落とします。


以上で、主格機側の設定は終了です。




【MySonicWALLに HA 構成を登録する】


 主格機のライセンス構成を副格機に引き継ぐには、MySonicWALL で主格機/副格機の関連付けを行う必要があります。

1. https://www.mysonicwall.com/ にログインし、主格機および副格機の SonicWALL の製品登録を行います(クイック登録でシリアル番号を入力するだけなので、ここでは省略)。

2. 「製品管理」より、主格機として登録した SonicWALL のリンクをクリックし、サービス管理ページを表示させ、ページ下部の「関連済み製品」より、「HA Secondary」 をクリックします。



3. 関連付けが可能な SonicWALL のシリアル番号が表示されますので、副格機となる SonicWALL のシリアル番号を選択してから、“関連”ボタンをクリックします。



 以上でライセンスの関連付けは終了です。

 関連付けを確認する方法は、「製品管理」より、副格機として登録した SonicWALL のリンクをクリックし、サービス管理ページを表示させます。



 上記のように、「このセカンダリ装置はプライマリ装置により管理されています。いくつかのサービス有効化は、プライマリ装置にリダイレクトします。」という表記があれば、主格機と副格機でライセンスの共有がなされていることになります。

 また、「使用可能なサービス」欄で、目的のサービスが「購読済」になっていることも必ず確認してください。




【ケーブルを正しくつなぐ】


 主格機と副格機が正しく動作するように、ケーブルを繋ぎます。

 以下のような接続モデル図を考えた場合のケーブル接続をしてみます。




1. ハブを 2 台用意し、電源を投入します(WAN スイッチ用、LAN スイッチ用)。
 このとき、SonicWALL には電源をまだ入れないでください。

2. WAN スイッチ用のハブにケーブルを接続し、主格機および副格機の WAN ポート (X1) にそれぞれストレートケーブルを繋ぎます。

WAN スイッチ用ハブのイメージは以下の写真のとおりです。



3. LAN スイッチ用のハブにケーブルを接続し、主格機および副格機の LAN ポート (X0)にそれぞれストレートケーブルを繋ぎます。

LAN スイッチ用ハブのイメージは以下の写真のとおりです。



4. SonicWALL 主格機に電源を投入します。

5. 主格機と副格機の X4 ポートどうしをクロスケーブルを繋ぎます。
 SonicWALL では、 X4 ポートを HA 構成用に使います。

ここまで設定が終わると、SonicWALL のケーブル接続は次のようになります。



6. SonicWALL 副格機に電源を投入します。





【主格⇔副格の切替動作チェックを行う】

 主格、副格それぞれの SonicWALL にケーブルが正しく接続され、電源が投入されていることを確認したら、いよいよ切替動作チェックを行います。


1. 主格機 SonicWALL の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。

2. ログイン先が「プライマリ SonicWALL」 になっていることを確認し、続いて「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「待機」になっていることを確認します。

 このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色→オレンジ色に交互に点滅していれば、主格機と副格機の通信が正しく行われていることを示します。




 このとき、バックアップ状況が「なし」になっている場合は、ケーブル接続、または PortShield の設定に誤りがある可能性がありますので、本記事の当該項目をご覧になりながらもう一度お試しください。

3. 管理インタフェースからログアウトし、主格機 SonicWALL の電源ケーブルを抜きます。
10 秒 ~ 15 秒ほど待ってから、主格機用の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。

4. ログイン先が「バックアップ SonicWALL」になっていることを確認し、「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「動作」になっていることを確認します。

 このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色になっていれば、副格機が動作状態になっていることを示します。



5. 主格機 SonicWALL と同じネットワーク状態になっていることを確認し、LAN、WAN アクセスの動作状態を確認してから、管理インタフェースからログアウトします。

 そして、再び主格機 SonicWALL の電源を投入します。

7. 15秒~20 秒ほど待ってから、主格機用の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。

8. ログイン先が「プライマリ SonicWALL」 になっていることを確認し、続いて「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「待機」になっていることを確認します。

 つまり、制御が元の主格に戻ったということになりますね。

 このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色→オレンジ色に交互に点滅していれば、主格機と副格機の通信が正しく行われていることを示します。

注:
主格機の復旧時に自動的に主格機が稼働するようにするには、「高可用性」→「詳細」で、「先制(プリエンプト)モードを有効にする」ボックスをチェックします。ここをチェックすると、主格機がアクティブな場合、主格機が稼働します。ここがオフになっていると、主格機が復旧しても、主格機は「待機」のままとなります。





【HA構成が動作しているときに、副格機の状態を調べる方法】

 SonicWALL で HA 構成が確立されて、動作しはじめると、副格機の工場出荷時の設定は主格機の情報で上書きされてしまうため、http://192.168.168.168 で副格機の管理インタフェースに入ることはできなくなります。

この代わりに、主格機側で、管理インタフェース専用の仮想 IP を主格機および副格機に割り当てることによって、管理インタフェースにログインできるようになります。

 手順は以下のとおりです。


1. 主格機 SonicWALL の管理インタフェースにログインします。

2. 「高可用性」→「監視」の順に選択し、監視設定ページに移ります。
 ここで、下図のように X0 ポートの設定アイコンをクリックします。


3. インタフェース 'X0' の監視設定サブページが開きます。

 下図のように、[プライマリIPアドレス](主格機に割当)、[バックアップIPアドレス](副格機に割当)に同ネットワーク上で利用可能な IP アドレスを入力してから、[プライマリ/バックアップIP アドレスでの管理を許可する] チェックボックスにチェックを付け、“OK”ボタンをクリックします。




 上記の例では、http://192.168.1.101 で副格機の管理インタフェースにアクセスできるようになります。



以上です。


2013-08-14

Windows 8 Pro をドメインに参加させたら、スタート UI のアプリが使えなくなって大慌て

 Windows 8 Pro をインストールして、ドメインに参加させると、Windows 8 のスタート UI に表示されているアプリケーションにまったくアクセスできなくなっていることに気づくことでしょう。



 Windows 8 アプリの対象ユーザは、Microsoft アカウント(クラウドで管理する)を対象にしているのが問題のようです。

 まあ、Microsoft アカウントを登録して、ログインしなおせば Windows 8 アプリを使えるようにはなりますが、Windows ドメインで共通で使っているアカウントがあるのだから、できればそれを使いたいという場合もあるでしょう。

 その場合は、以下の手順でレジストリ情報を一部書き換えることによって、ビルトインアカウント(たとえば Administrator)で Windows 8 アプリを使えるようになります。


1. カーソルを画面の右端下まで移動してチャームを表示させ、検索アイコンをクリックします。


2. アプリ検索用のボックスが表示されますので、regedit と入力します。



 画面左に該当するアプリが表示されますので、アイコンをクリックすると、レジストリエディタが開きます。


3. レジストリキーの一覧より、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken を展開します。



4. FilterAdministratorToken の値を 0 から 1 に変更します。



5. レジストリエディタを閉じてコンピュータを再起動すると、ビルトインアカウントで Windows 8 のスタート画面のアプリを使えるようになります。



Windows 8 がプリインストールされいてるコンピュータに Windows 8 Pro をインストールする方法

Windows 8 を Windows 8 Pro にアップグレードしようとしたら、「問題が発生したため、PC を再起動する必要があります。INACCESSIBLE_BOOT_DEVICE」と表示されて大慌て


Windows 8 には二つのエディションがあり、Pro 版でなければ Windows 8 をドメインに参加させることができません。



一筋縄ではいかなかった Windows 8 → Windows 8 Pro へのアップグレード

 Windows 8 がプリインストールされているコンピュータを購入した場合、社内ドメインに参加させるには、前述のとおり、Windows 8 を Pro 版にアップグレードする必要があります。

 当方の場合は、Pro 版をインストールしようとしたところ、何度かつまづくことになってしまいましたので、備忘録として手順を記載しておきます。


1. Windows 8 がインターネットに接続されていることを確認します。

2.  Windows 8 にログインし、Windows 8 Pro インストールディスクを挿入してから、エクスプローラーを開き、インストーラーを起動します。
 
3. “今すぐインストール”をクリックします。

 

「一時ファイルをコピーしています」という画面に切り替わりますので、しばらく待っていると、以下のような画面が表示されます。




 
 このとき、「オンラインで今すぐ更新プログラムをインストールする(推奨)」を選択します。
 ここでドライバ情報の確認と更新が行われます。

重要:
 当方の場合は、最初にこの選択しを無視してしまったため、インストール途中で再起動がかかった際に、ドライバの問題が発生してしまいました。

 具体的には、青い画面に以下のような文字列が表示され、その後は無限再起動ループに陥ってしまいました。

「問題が発生したため、PC を再起動する必要があります。
エラー情報を収集しています。その後、自動的に再起動します。
詳細については、次のエラーを後からオンラインで検索してください INACCESSIBLE_BOOT_DEVICE」


 ですから、更新プログラムのインストール作業は必ず実行してください。

 途中でドライバの互換性の問題が検出された場合は、そのレポートがデスクトップに作成されますので、問題のあるドライバを事前に手動でアンインストールしてください。


4. 無事にドライバの問題が解消されたら、再度 Windows 8 Pro のセットアップを実行します。
 ライセンス条項では、「同意します」チェックボックスにチェックを入れます。


 
5. インストールの種類選択が表示されますので、ここでは「アップグレード:Windows をインストールし、ファイル、設定、アプリを引き継ぐ(U)」を選択すると、アップグレードインストールが始まります。



 
 これ以降は特にユーザ選択を伴いませんので、説明は省略します。


Windows 8 Pro にアップグレードした後の、プロダクトキーの入力方法

 Windows 8 と Windows Pro のプロダクトキーが異なる場合は、Windows 認証には失敗してしまいます。

 具体的には、以下のようなメッセージが表示されます。

「ファイル名、ディレクトリ名、またはボリューム ラベルの構文が間違っています。(エラー コード 0x8007007B)」

 この場合は、プロダクトキーを新たに入力する必要があります。

1. 画面の右端をスワイプしてチャームを表示させ、「検索」をクリックします。

 

2. アプリの検索画面が表示されますので、検索ボックスに SLUI 03 と入力します。

 

すると、画面の左端に SLUI 03 というアプリが表示されますので、クリックします。


3. 「Windows のライセンス認証」という名前の画面が表示されますので、ここで Windows 8 Pro のプロダクトキーを正しく入力してください。


 
 プロダクトキーの照合が正しくできたら、画面右下の“ライセンス認証”というボタンがアクティブになりますので、クリックするとこのプロダクトキーを使って認証が行われます。